Come creare e ricordare una password forte.

È facile creare una password forte - e ricordarla. Hai solo bisogno di sapere come!

Ogni giorno navighiamo attraverso un internet pieno di terribili password. Questa realtà è meno che ideale. Quali passi puoi fare per rafforzare la sicurezza del tuo account senza ricorrere a scarabocchiare i tuoi dati di accesso su un post-it? Qui c'è tutto quello che devi sapere su come vengono infrante le cattive password e cosa puoi fare per proteggere i tuoi account e le tue informazioni personali. Seguendo questi passi puoi creare password forti e ricordarle facilmente!


Passo 1: Conoscere il tuo nemico

Gli attacchi contro le password degli utenti possono essere di tutte le forme e dimensioni. Se vuoi creare una password forte, il primo passo è imparare quali tipi di trucchi possono essere usati per scoprire la tua. Qui ci sono alcuni dei modi principali in cui i cyber ne’er-do-wells stanno attivamente accedendo a conti bancari, email personali e profili di social media.

Nella maggior parte dei casi gli aggressori hanno accesso a una collezione di dati di password violate. Queste password sono più spesso elencate in una forma hash, ma non è difficile scoprire le credenziali in chiaro che si trovano all’interno. Una volta che si verifica una violazione dei dati, le informazioni trapelate sono diventate pubblicamente disponibili e probabilmente non andranno via. La migliore linea d’azione per chiunque abbia i propri dati resi pubblici da una tale violazione è quella di cambiare immediatamente le proprie password e attivare qualche forma di autenticazione a più fattori. In generale, raccomandiamo ai nostri utenti di attivare l’autenticazione in due fasi nella nostra guida sulla sicurezza delle password.

Qui c’è una bella dimostrazione di quanto velocemente le password possono essere decifrate:

È importante tenere a mente che questo video è stato pubblicato nel 2016. La capacità di calcolo e le schede grafiche in particolare sono notevolmente aumentate in termini di prestazioni, ma purtroppo la scelta della password dell’utente medio probabilmente non ha tenuto il passo con questi rapidi progressi.

Attacchi con la forza bruta

Chimp sitting at a typewriter. Chimp sitting at a typewriter.

Unnumero sufficiente di scimpanzé con abbastanza tempo può forzare la tua password in modo brutale.

Un attacco di forza bruta è un tentativo da parte di un attore malintenzionato di testare tutte le possibili combinazioni di lettere, numeri e simboli fino a determinare la password che corrisponde al tuo nome utente. Un esempio di attacco brute-force su una password di 5 cifre sarebbe un attaccante che prova:

aaaaa … mmmmm … zzzzz

Questi attacchi hanno un alto tasso di successo contro le password brevi che non usano numeri o caratteri speciali. Fortunatamente, questo tipo di attacchi può essere mitigato creando password più lunghe che utilizzano un mix di lettere, numeri, maiuscole e minuscole, e caratteri speciali.

Attacchi da dizionario

Screenshot from a password wordlist. Screenshot from a password wordlist.

La fuga di dati di RockYou ha esposto oltre 32 milioni di password in chiaro. Questa lista è standard in Kali Linux.

Un attacco a dizionario è un attacco brute-force più raffinato che utilizza liste di parole selezionate dal dizionario per testare le potenziali password del vostro account. Se la vostra password include parole che si trovano in questi dizionari, come le liste di parole che si trovano nelle installazioni di default delle principali distro Linux, siete suscettibili a questi attacchi. Se la tua password è elencata qui, cambiala subito!

Attacchi di phishing

Gli attacchi di phishing sono tecniche di raccolta ben note ed efficaci che prendono di mira direttamente l’utente dell’account. Un link abilmente camuffato inviato da una fonte affidabile, da un sito web o dal vostro amministratore IT può fornire un rapido accesso a credenziali di accesso valide. Un ottimo esempio di come questi attacchi possano essere facilmente costruiti può essere trovato nel video tutorial di NetworkChuck qui:

Gli attacchi di phishing non si limitano alle e-mail, ma si sono fatti strada nelle chiamate telefoniche, SMS, VoIP, e altri servizi di messaggistica come WhatsApp e Signal. Se un attaccante si concentra su un individuo specifico questi attacchi, noti come spear-phishing, possono essere molto più difficili da rilevare prima che sia troppo tardi.

Il modo migliore per combattere gli attacchi di phishing è rimanere vigili. Non cliccare sui link inviati nelle e-mail o aprire allegati inaspettati. Se ricevi email automatiche dalla tua banca che richiedono un’azione urgente sul tuo conto, dubita sempre che provengano effettivamente dalla tua banca. Se credi che sia necessaria un’azione, apri una nuova scheda del browser ed effettua il login direttamente dal sito della tua banca.

Attacchi Man-in-the-Middle

Quanto spesso fai il login al WiFi gratuito del tuo bar preferito? Se non stai attento, potresti connettere il tuo dispositivo a un punto di accesso disonesto invece che alla fidata connessione di Starbucks. Gli attacchi Man-in-the-Middle si frappongono tra il tuo dispositivo e il punto di accesso effettivo, fingendo di essere qualcuno che non è. Queste false reti possono origliare e registrare il traffico che invii e ricevi attraverso di esse, comprese le password non criptate inviate lungo il percorso.

Come creare una password forte

Passo 2: Cos’è una password forte e come puoi crearne una?

Il bene:

Una password forte deve essere abbastanza lunga da evitare di essere forzata. Dovrebbe essere lunga almeno 12 caratteri e includere un misto di lettere, numeri e caratteri speciali. È anche importante non usare questi numeri o caratteri speciali in modi comuni. La scelta apparentemente intelligente di scambiare le tue “o” con gli “0” o le tue “e” con i “3” non ingannerà nessuno che voglia rubare le informazioni di accesso al tuo conto bancario.

Se si sceglie di utilizzare una stringa di parole casuali, queste non dovrebbero essere correlate tra loro per evitare di cadere vittima di un attacco dizionario. Mischiare numeri a intervalli casuali e non sempre prima, tra o dopo le parole li rende ancora più difficili da decifrare. Per esempio “B?r!d7sDri%&veP._otat!oC?8ches” ha meno probabilità di essere decifrato in un attacco dizionario che “BirdsFly”.

”B?r!d7sDri%&veP._otat!oC?8ches” può essere improbabile da decifrare, ma se cado per un link di phishing o vengo catturato in un attacco man-in-the-middle l’errore umano annulla qualsiasi vantaggio matematico che i passi precedenti hanno fornito.

Di nuovo, per creare una password forte:

  1. Utilizzare almeno 12 caratteri
  2. Includere maiuscole e minuscole, numeri e simboli speciali
  3. Non usare parole del dizionario
  4. Non usare caratteri speciali in modi prevedibili (H3llo o Pa$$word)

Arriveremo più tardi a come ricordare questa nuova password.

Il male:

Se la tua password compare in una ricerca su HaveIBeenPwned, dovresti cambiarla immediatamente. The Pwned Password è disponibile per il download gratuito ed è senza dubbio utilizzato per ottenere un accesso non autorizzato agli account di tutto il mondo.

È fondamentale evitare l’uso di parole singole che sono rapidamente brute-forzate da qualsiasi computer medio. La password “agoodpassword” può essere forzata in due giorni e appare già in 107 violazioni di dati secondo il Password Checker di Kaspersky. Se sostituiamo le “o” con gli “0”, la password sarà ancora forzata in due giorni. Andate avanti e provate alcune di queste se siete interessati.

Passord checker. Passord checker.

Non raccomando di testare le vostre vere password su un sito web come questo, ma è interessante vedere come le diverse combinazioni abbiano un impatto sulla forza di una password.

La vostra password non dovrebbe nemmeno includere informazioni di identificazione personale, come il vostro primo animale domestico, il vostro anniversario di matrimonio o la strada in cui siete cresciuti. Tutte queste informazioni sono facilmente disponibili con un po’ di semplice ingegneria sociale o una visita alla vostra pagina Facebook. Questo significa che “amy&bob4ever1997” è una pessima scelta. Anche se ci possono volere “12 secoli” per essere forzato in base al controllo della password forte di cui sopra, una visita alle vostre pagine pubbliche di social media piene di foto postate da quell’occasione speciale ridurrà drasticamente quel tempo.

Il brutto:

Ci sono alcune password che purtroppo non andranno mai via. La seguente lista è la top 10 delle password più comuni secondo NordPass.com. Se stai usando QUALSIASI di queste password, devi cambiarle, preferibilmente ieri.

Most common passwords in 2021 Most common passwords in 2021

Puoi trovare le 200 password più comuni del 2020 [qui](https://nordpass.com/most-common-passwords-list/).

Passo 3: Mantenere le tue credenziali al sicuro

Ora che abbiamo un’idea di come creare password forti usando almeno 12 caratteri, compresi i numeri, la maiuscola e i caratteri speciali, ed evitando le parole del dizionario o mettendo i numeri in posti ovvi, questo ci porta alla domanda: come ricorderemo questo colosso di password?

Un consiglio semplice è quello di usare una password mnemonica. Create una lunga frase che probabilmente sarà facile da ricordare: “L’anatra scappò dal cane unico mentre mangiava 5 carote viola” può essere accorciata in una password che assomiglia a “Tdr/n4rom1d00gWe5Pur%Ca&“. Questo è di 24 caratteri, include numeri e caratteri speciali, e mentre può sembrare un nonsenso a prima vista, può essere ricordato dalla strana frase originale. Questa è la stessa tecnica che molti di noi hanno usato a lezione di matematica quando cercavano di ricordare quel fastidioso ordine delle operazioni. Sono sicuro che “Vi prego di scusare la mia cara zia Sally” occupa ancora un posto in molti ricordi.

La nota adesiva

Vi garantisco che se entrate in un qualsiasi ufficio di medie o grandi dimensioni, qualcuno ha scritto la sua password e l’ha lasciata in un cassetto della scrivania non chiuso a chiave. Questa non è mai una pratica di sicurezza sicura. Non essere la persona la cui pigrizia porta a una violazione della sicurezza in tutta l’azienda.

È importante che i professionisti IT si rendano conto che i loro utenti sono la prima linea di difesa contro l’accesso indesiderato nella vostra rete. Una formazione adeguata per i vostri dipendenti è fondamentale per evitare che accadano errori come questo. I team IT devono lavorare con i loro utenti per combattere le minacce ai dati aziendali. Numerose segnalazioni innocue di un’ovvia e-mail di phishing sono molto meno fastidiose che cercare di rimediare ai danni di un’infezione ransomware.

Politiche di rotazione delle password

Una delle cause principali per cui gli utenti scrivono le loro credenziali dove possono essere facilmente scoperte è la raccomandazione obsoleta delle politiche di rotazione delle password. Fortunatamente, questi giorni sono passati e il NIST non raccomanda più queste rotazioni obbligatorie di password. Queste politiche spesso portavano gli utenti a scegliere password più semplici con solo piccole variazioni. Queste scelte di password erano molto più facili da forzare o portavano gli utenti a scrivere le loro password e a conservarle in modo insicuro perché avevano difficoltà a ricordare le nuove credenziali.

Le password dovrebbero essere cambiate in caso di violazione, esposizione accidentale o se l’utente le ha dimenticate.

Non riciclare le password

Riutilizzare le password è il modo più semplice per un attore malintenzionato di passare dal vostro account Facebook compromesso al vostro conto bancario. È fondamentale che le password (e i nomi utente) non vengano utilizzati tra i servizi. Questo può sembrare scoraggiante, ma ci sono varie opzioni che possono rendere più facile mantenere più password forti.

Ci sono molti siti web che offrono “nuove password creative e intelligenti per il 2021”, ma scegliere qualsiasi password o nome utente preesistente che puoi vedere online (o anche quelli in questo post) rappresenta un rischio per la sicurezza.

Ricordate, una buona password dovrebbe essere come la carta igienica: forte e usata solo una volta.

Salvare le password nel browser

Un’opzione per salvare le password è quella di salvarle semplicemente nel tuo browser internet, sia esso Firefox, Chrome o Safari. Molte di queste password possono poi essere collegate a un account che può essere sincronizzato tra i dispositivi in caso di sostituzione.

Per quanto comodo possa sembrare, questo non è raccomandato se non puoi garantire che nessuno possa ottenere un accesso indesiderato al tuo dispositivo. Un rapido viaggio nella finestra delle preferenze si traduce in un elenco completo di password salvate che sono memorizzate in chiaro per il mondo intero. Questo non è l’ideale.

Gestori di password

Un mezzo più affidabile per memorizzare le tue password è l’uso di un gestore di password. Ci sono più gestori di password che possono essere adeguatamente discussi in questo post del blog. I gestori di password memorizzano tutte le vostre varie credenziali di accesso in una posizione centrale e (idealmente) criptano tutti i dati. Nel caso in cui il vostro dispositivo venga rubato, queste password e nomi utente non possono essere scoperti senza prima sbloccare il vostro password manager.

Questi programmi hanno l’ulteriore vantaggio di includere generatori di password che possono creare e salvare password casuali che sono al di là di ogni ragionevole aspettativa della memoria umana. Questo vi risparmia la fatica di inventare nuove password forti sul posto.

Se si sceglie di utilizzare un gestore di password, è assolutamente necessario creare una password forte. Questa password agisce come la chiave che sblocca tutta la vostra vita digitale e dovrebbe essere trattata come tale. Fortunatamente, molti di questi programmi supportano anche l’autenticazione multi-fattore che dà ai vostri dati un livello extra di protezione molto necessario.

Non voglio entrare nel dibattito su quale sia l’opzione migliore, ma ecco una breve lista di alcuni popolari gestori di password e i link ai loro siti web:

Alcune di queste opzioni sono gratuite e open source, mentre altre richiedono un abbonamento per utilizzare i loro servizi. Se sei un utente Mac o Linux, il tuo dispositivo è preinstallato con un programma portachiavi che ti permette anche di memorizzare le tue credenziali di accesso. Queste sono caratteristiche comode, ma non forniscono lo stesso grado di sicurezza crittografica di queste soluzioni di terze parti per la gestione delle password.

State al sicuro e buona navigazione!

Se segui questi passi per creare una password più forte e memorizzarla in modo sicuro utilizzando il gestore di password di tua scelta, ti sei reso un obiettivo digitale molto più difficile. Quando si tratta di cybersicurezza non esiste una protezione a prova di proiettile, ma se i malintenzionati scelgono chi prendere di mira, il tuo account con una password forte e l’autenticazione a più fattori sarà molto meno attraente.

Con questi consigli puoi aumentare la tua sicurezza digitale e navigare sul web con maggiore sicurezza che i tuoi account online e le tue informazioni personali sono protetti.


Dai un’occhiata anche alla nostra guida sulla sicurezza delle e-mail. Spiega come un account di posta elettronica sia la porta della tua identità online e come puoi migliorare ulteriormente la tua sicurezza online facendo alcune scelte intelligenti.